Seguridad en America (SEA): Al principio de su carrera, ¿por qué se interesó en la seguridad?
Alan T. Mather (AM): Mi interés en seguridad empezó en el ejército, cuando serví como analista en la lucha contra el terrorismo para apoyar los Juegos Olímpicos de 1988 en Seúl, Corea. Adicionalmente, mientras me decidía por cuál maestría cursar, fui víctima de un robo en mi casa; fue entonces cuando decidí que me debía preparar más en los aspectos de seguridad. Cursé la Maestría en Gestión de Seguridad en la Universidad de Webster.

SEA: Desde su punto de vista ¿cuál es la diferencia entre la seguridad física (safety) y la seguridad patrimonial (security)?
AM: Percibo a “safety” y “security” como dos conceptos complementarios, sin embargo, por más que se quieran separar, al final ambos tienen la misma finalidad: proteger la fuerza de trabajo. Existen similitudes en su administración, ya que en un reporte se deben demostrar las adquisiciones y la recuperación de la inversión para el programa de “safety” y de “security”. Sin embargo, la principal diferencia entre la seguridad física y la seguridad patrimonial radica en los mandatos y en las leyes. La Ley de la Administración Ocupacional de Seguridad y Salud de 1970, es un derecho público creado para garantizar salud y seguridad en las condiciones de trabajo de los empleados. Como exige la ley, las empresas están obligadas a seguir ciertas prácticas, reportar accidentes, realizar inspecciones de seguridad y poner en práctica un programa de seguridad viable. Pero esto no sucede con la seguridad patrimonial. No existen leyes que exijan a una organización adoptar un programa de seguridad, utilizar guardias armados, o implementar tecnología para garantizar la seguridad. Tal vez, algún día esto cambie. Mientras tanto, vale la pena hacer un esfuerzo para aprovechar las obligaciones que debe cumplir la seguridad física, y con base en ellas, trabajar para minimizar las necesidades de la seguridad patrimonial, con el fin de demostrarle a la empresa que cuando los programas “safety” y “security” están coordinados, no sólo se pagan por sí mismos, sino que ahorran dinero y evitan el sufrimiento humano.

SEA: ¿Cuál es el giro de la compañía para la cual trabaja?
AM: Espacio aéreo. El Centro Espacial Johnson (JSC) de la NASA es responsable del desarrollo de naves espaciales tripuladas, entrenamiento de los astronautas, operación de vuelos espaciales, e investigación biomédica afín y medicina espacial. Los programas de la NASA en el JSC incluyen el Programa del Transbordador Espacial, el Programa de la Estación Espacial Internacional, y el Programa de Exploración Lunar y de Marte. El JSC también lleva a cabo investigaciones en ciencia lunar, en ciencia espacial, tecnología y recursos de la Tierra y sus aplicaciones, así como la preservación de material astral. Los programas avanzados en el JSC incluyen una amplia gama en investigación y desarrollo tecnológico de la ingeniería espacial, ciencias del espacio y de la vida humana, apoyadas por más de 17 laboratorios. El JSC es el mayor creador de fuentes de trabajo federal en la ciudad de Houston, con poco más de 3,200 funcionarios y más de 10 mil contratistas que apoyan el trabajo espacial de la nación.

SEA: ¿Cuál es el principal problema de seguridad al que se enfrenta la industria?
AM: La protección de la Tecnología. Las amenazas de robo de información merecen la intervención de agentes de inteligencia extranjeros, que buscan información y mantienen en la mira tanto a empleados como a contratistas. Algunas amenazas pueden provenir de corporaciones y empresas, que buscan una ventaja competitiva para sus negocios a través del espionaje económico o industrial. Aunque la gran mayoría de la información de la NASA está abierta y es compartida con el público en general, algunas veces no puede ser del dominio público; esto sucede cuando los datos son fundamentales para la toma de decisiones, están patentados, o son secretos y están controlados.
Por otra parte, a nivel nacional, la extensa infraestructura que maneja la NASA y en particular los sistemas para la Adquisición, Control y Supervisión de datos (SCADA- Supervisory Control and Data Acquisition systems), probablemente provocarán que aumenten los ataques. Los sistemas SCADA se utilizan para prestar servicios tales como la transmisión de energía eléctrica, oleoductos y gasoductos, grandes sistemas de comunicación, y el tratamiento de agua y su distribución. Nos encontramos ante una nueva era de las amenazas de seguridad en línea, lo que se demuestra con los delincuentes cibernéticos profesionales, el aumento de los cárteles cibernéticos, del espionaje cibernético, de las guerras y de extremistas que realizan fraudes en línea para financiar sus operaciones.
Para nuestra seguridad y bienestar general, es un error ignorar las amenazas y aprender a vivir con ellas. También fallamos porque nos falta la capacidad de observación ante condiciones aparentemente normales que en realidad representan amenazas y no las reportamos. Muchas veces los problemas de seguridad se reducen a los factores humanos, tales como la ingeniería social que usan para obtener información o para abusar de la relación con una persona para llevar algo de ganancia, pero también los materiales de control que si son malos o escasos, facilitan el robo. Debemos ser conscientes de nuestras amenazas potenciales. Para terminar, y simplemente por mencionarlo, cada día, la NASA es un objetivo debido al compromiso o la importancia de la información que posee, mismo que puede ocasionar daños en la reputación, imagen, buena voluntad, ventaja competitiva, y en la esencia de la tecnología.

SEA: ¿Qué clase de tecnología en seguridad utilizan?
AM: El JSC emplea un sistema de gestión de la seguridad (SMS), que permite monitorear el acceso físico, gestión de alarmas, gestión de video digital, análisis de video inteligente y detección de intrusiones. El SMS proporciona seguridad, con conocimiento de la situación y un panorama completo de las condiciones de seguridad. La NASA, al igual que otros organismos federales, utiliza tarjetas inteligentes de acceso.
Para el personal que viaja al extranjero, JSC cuenta con el servicio de gestión de riesgos para viajeros, iJET (Intelligent Risk Systems). Se trata de un servicio mundial de inteligencia con flexibilidad empresarial que automáticamente se actualiza acerca de las amenazas y los incidentes en todo el mundo, con el fin de mantener a nuestros viajeros seguros e informados – antes, durante y después de su viaje. Podemos monitorear y evaluar las amenazas a las que están expuestos nuestros viajeros; automáticamente los rastreamos y nos comunicamos con ellos; en el momento que recibimos una noticia, podemos desplegar una respuesta de emergencia en cualquier parte del mundo. Por ejemplo, cuando se produjeron los atentados en el sistema de transporte de Londres, teníamos cuatro empleados del JSC en Londres y en cuestión de minutos, sabíamos quiénes estaban allá y si estaban bien. También teníamos un empleado en Mumbai, durante los ataques que tuvieron lugar en noviembre. La central utiliza a menudo el mapa mundial Worldcue, que muestra el número de empleados que se encuentran en cada país, cada día. Un panel independiente de amenazas pone a la vista cuántos empleados se encuentran en lugares de alto riesgo, y en un momento dado, cuáles pueden ser afectados por las amenazas de ese momento.

SEA: ¿Podría compartir con nosotros alguna situación de riesgo que la NASA solucionó exitosamente, gracias a procedimientos de seguridad o a tecnología de seguridad?
AM: Un ex-contratista de JSC robó a la NASA numerosos dispositivos electrónicos, computadoras portátiles y hardware. Utilizamos un sistema secreto de vigilancia electrónica para identificar al autor. Fue detenido en el momento y posteriormente condenado; los bienes fueron incautados y recuperados de la casa del sujeto tras su detención

SEA: ¿Qué mensaje o recomendaciones de seguridad le daría a sus colegas de la industria para mejorar la gestión de la seguridad?
AM: Conviértase en un miembro valioso y de confianza para su empresa a través de enfoques razonables y moderados ante amenazas y riesgos. Presente indicadores significativos en dólares que demuestren la recuperación de la inversión en seguridad. Busque el desarrollo profesional y programas educativos, tales como los ofrecidos a través de ASIS Internacional. Conviértase en un experto en “Seis Sigma” (Six Sigma), “Pensamiento Esbelto” (Lean Thinking), y en la gestión de otros conceptos, así como en seguridad, comercio y capacitación en tecnología de la información que proporciona la habilidad requerida para elevar el calibre de los profesionales de la seguridad

SEA: ¿Qué beneficio ha obtenido por ser socio de ASIS?
AM: ASIS International es la mayor organización de seguridad de este tipo y me ha ofrecido muchas oportunidades para hacer contacto con otros profesionales de la seguridad, tanto en el sector público como en el privado. Cuando me he enfrentado a retos de seguridad y estoy buscando ideas y opciones, tengo la oportunidad para llegar a una amplia lista de personas con experiencias diversas que me pueden proporcionar una gran opción de posibles soluciones e ideas potenciales. Este contacto personal y la interacción son un excelente beneficio que ofrece la membresía.
El Seminario y Exposición Internacional Anual de ASIS es el principal evento del sector de la seguridad en donde puedo aprender acerca de las últimas tecnologías, tendencias de seguridad, y estándares y directrices de la industria. Además, disfruto de la publicación de la revista Internacional de Gestión de la Seguridad de ASIS, así como de los Manuales para la Protección de los Activos, considerados como referencia para profesionales de la seguridad. n

Interview with
Alan T. Mather, CISSP, CPP
Chief, Protective Services Division at
NASA

Nationality: US citizen

Seguridad en America (SEA): At the beginning of your career, why were you interested in the security sector?
Alan T. Mather (AM): My interest in security began in the military, when I served as a counterterrorism analyst supporting the security efforts for the 1988 Olympic Games in Seoul, Korea. Additionally, while deciding on which master’s degree program to pursue, my home was burglarized, so I decided then, that I needed to become better educated about security matters. I obtained a Master degree from Webster University in Security Management.

SEA: From your point of view, what is the difference between “SAFETY” and “SECURITY”?
AM: I look at safety and security as complimentary concepts, however separate they may be, in the end, both intent to protect the workforce. There are similarities in getting management “buy-in” and communicating your safety or security program’s return on investment. However, the main difference between safety and security lies in the mandates and law. The Occupational Safety and Health Administration Act of 1970, is a Public Law created to ensure safe and healthful working conditions for employees. As required by law, organizations are obligated to follow certain practices, report accidents, conduct safety inspection and implement a viable safety program. Not so with security. Laws do not exist that mandate an organization adopt a security program, use armed security guards, or deploy security technology. Perhaps, one day this will change. Meanwhile, it is worth the effort to leverage safety requirements with security needs and demonstrate to the organization that coordinated safety and security programs not only pay for themselves, but save money, and prevent human suffering.

SEA: What is the roll of the Industry that you work at?
AM: Aerospace. NASA’s Johnson Space Center is responsible for manned spacecraft development, astronaut training, space flight operations and related biomedical research, and space medicine. NASA programs located at JSC include the Space Shuttle Program, the International Space Station Program, and the Lunar and Mars Exploration Program Office. JSC also conducts investigations of lunar science, space science, and Earth resources technology and applications, as well as the curation of astromaterials. Advanced programs at JSC include a broad spectrum of research and technological development in space engineering and space and human life sciences, accomplished through some 17 different R&D laboratories. JSC is the largest federal employer in city of Houston with just over 3200 civil servants and over 10,000 contractors supporting the nation’s space work.

SEA: Which are the main security problems that your industry has to face?
AM: Technology Protection. Information loss threats may be deliberate efforts by foreign intelligence collection officers, who are searching for information and target our employees and contractors. Some threats may be from corporations and companies, who seek a competitive advantage in their business through economic or industrial espionage. While the vast majority of NASA information is open and shared with the public, there are at times, when the information is pre-decisional, proprietary, export controlled, and trade secret and not appropriate for release.
Moreover on a national level, the critical infrastructure, notably the Supervisory Control and Data Acquisition systems (SCADA) that operate them, will likely see increased attacks. SCADA systems are used to deliver such services as electrical power transmission, oil and gas pipelines, large communications systems, and water treatment and distribution. Professionalized cyber criminals, the rise of cyber cartels or extremists using online fraud as a means to fund their operations, and cyber espionage and warfare show how we have entered a new era of online security threats.
It is the complacency and ignorance of security threats and the failure to observe and report off nominal conditions that are threats to our security and general well-being. Many times it comes down to human factors, such as social engineering, used to gain information or exploit a relationship for gain, or poor materials control that enables exploitation of theft. We must remain aware of our potential threat conditions. To that end and simply stated, everyday NASA is a target for IT compromise, and these information compromises have and can result in losses to reputation, image, goodwill, competitive advantage, and core technology.

SEA: What kind of security technology do you use?
AM: JSC employs a security management system (SMS) that allows monitoring of physical access, alarm management, digital video management, intelligent video analysis, and intrusion detection. The SMS provides Security with situational awareness and a comprehensive picture of security conditions. NASA like other federal agencies uses smart cards.
For our overseas travelers, JSC uses a travel risk management service, iJET Intelligent Risk Systems, a global intelligence and business resiliency services that automatically relates global threats and incidents to our travelers and helps to keep them safe and informed – before, during and after their trips. We can monitor and assess threats to our travelers; automatically track and communicate with them; and deploy an appropriate emergency response anywhere in the world at a moment’s notice. For example, when the London transit system bombings occurred, JSC had four employees in London and within a matter of minutes, we knew who was in London and whether they were okay. Also, we had one employee in Mumbai, when the attacks took place in November. The Center often uses the Worldcue world map, which displays the number of employees in each country each day. A separate threat exposure dashboard provides an at-a-glance view of how many employees are in high-risk locations at any one time and which ones may be impacted by current threats.

SEA: Could you join with us any risky situation in your company or industry that was successfully solved, thanks to emergency security procedures or security technology?
AM: A former JSC contractor stole NASA property in the form of numerous electronic devices, computer laptops, and hardware. We used covert electronic surveillance to identify the perpetrator. He was arrested in the act, subsequently convicted, and the property was seized and recovered from the subject’s home following his arrest.

SEA: What message or security recommendations could you give to other colleagues in the industry to improve security practices?
AM: Become a trusted and valuable member of your organization through reasonable and measured approaches to threats and risks. Produce meaningful metrics that demonstrate a good return on the investment of security dollars. Seek professional development and educational programs such as the ones offered through ASIS International. Become knowledgeable of Six Sigma, Lean Thinking, and other management concepts as well as security, business, and information technology training that provides the required skill sets to raise the caliber of security professionals.

SEA: What benefit have you obtained from being a member of ASIS?
AM: ASIS International is the largest security organization of its kind and has offered me a great many opportunities to network with other security professionals, both in the public and private sectors. When I have faced security challenges and am looking for ideas and options, I have the ability to reach out to a wide range of people with varied experiences who can provide me with a wide range of potential solutions and ideas. This personal networking and interaction is an excellent membership benefit.
The ASIS International Annual Seminar and Exhibits is the security industry’s premier event where I can learn about the latest technology, security trends, and industry standards and guidelines. Also, I enjoy the ASIS International publication Security Management magazine as well as the Protection of Assets Manuals that are considered the premier reference for security professionals interested in security.